导出域内哈希:利用DCSync,mimikatz和Secretsdump.py脚本都可以导出域控制器上用户的哈希。例如,导出administrator用户的Hash,或获取所有域用户的哈希。维持权限:在域内维持权限时,可以通过向一个普通用户添加特定的ACE来实现DCSync操作。检测与防护:检测DCSync后门:可使用ACLight工具枚举
利用DCSync在域内维持权限,通常需向一个普通用户添加特定的ACE(Access Control Entries),以实现DCSync操作。检测DCSync后门,可使用ACLight工具枚举Active Directory中的所有用户ACL,标记出特权账户。此外,利用具有高权限但不在高权限组的用户(Shadow Admin)进行检测,需要结合安全培训和攻防比武经验。作者...
在DCSync功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。2015年8月,新版的mimikatz增加了DCSync的功能,该功能可以模仿一个域控DC,从真实的域控中请求数据,如用户的哈希。该功能最大的特点就是可以实现不登录到域控而获取域控上的数据。一般用来做权限维持 ...
Secretsdump.py 是 Impacket 框架中的一个脚本,该脚本也可以通过 DCSync 技术导出域控制器上用户的哈希。该工具的原理是首先使用提供的用户登录凭据通过 smbexec 或者 wmiexec 远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的哈希,同时通过 Dcsync 或从 NTDS.dit 文件中导出所有域用户的哈希。其最大...
导出后我们就可以pth,ptt了 利用DCSync权限维持 利用条件 https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1#L8270 Domain Admins组内的用户 Enterprise Admins组内的用户 看了一下,好像是利用DCSync对普通用户添加ACE,用于修改ACL(Access Conotrol list),让普通用户也有获取到域管理员...
当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。 默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希。
首先,我以较低的权限运行了mimikatz,这个权限为Windows工作站的本地用户,也就是我demo域成员。 在这里,我们需要生成一张黄金票据(Golden Ticket),利用它来获得域管理权限。然后,咱们再使用mimikatz的dcsync功能,从域控制器获取hash。 作为一个新登录的本地用户,本来是没有票据的: ...
CVE-2021-26858/CVE-2021-27065是Exchange邮箱服务器近期爆出的严重RCE漏洞,利用此漏洞的攻击者可以获取Exchange邮箱服务器的最高权限。本文以CVE-2021-26858漏洞为入口,打下Exchange邮箱服务器,又由于Exchange邮箱服务器默认在域中具有高权限,可以修改域内的ACL,因为可以赋予Dcsync ACL给指定的用户,进而导出域内哈希,拿...
0x03 利用 DCSync 在域内维持权限的方法 利用条件: 获得以下任一用户的权限: Domain Admins 组内的用户 Enterprise Admins 组内的用户 利用原理: 向域内的一个普通用户添加如下三条 ACE(Access Control Entries): DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2) ...
前言 在域环境中配置ACL后门,隐蔽性较强,不容易被发现,适合域环境维持权限,本文介绍常用的三种。 一、基于注册表ACL后门 作用:直接域控制器上的本地管理员hash。 实现思路:在域控制器上将...的操作3、查看域控制器上是否存在特殊权限用户,如下图所示: 总结 本文介绍了常用的几种配置ACL在内网里留后门的方法,后...